企业网络中为了数据外泄保护而解密文件的方法与装置的制造方法
【技术领域】
[0001]本发明系关于企业的资料外泄保护,特别是为了数据外泄保护的需要而解密加密文件以进行检查。
【背景技术】
[0002]企业为了确保机密数据不会经由连外的因特网等电子通信方式而外泄,会设置有数据外泄保护(Data Leakage Protect1n、DLP)机制,以检查对外的通信内容中是否含有机密数据。对此可参考 Check Point Software Technologies Ltd.的产品 Check PointDLP Software Blade。
[0003]另一方面,为了进行上述的DLP检查,当通信内容中含有加密文件时,则必须对加密文件进行解密才能检查。现有利用暴力破解(Brute-force)的方式来尝试解密加密文件,但可想见地此方式相当耗时。另外也有藉由剖析(parse)电子邮件内容来建立暴力破解方式所需要的字典,对此可参考美国专利公开号US2012/0216046,在此以引用的方式并入本文。
【发明内容】
[0004]本发明一方面即在于:为了在企业网络中进行DLP检查,预先收集企业网络内的终端进行加密程序所输入的密码,加以储存收集为密码候选名单,而当日后需要对加密文件进行解密时,则可根据此密码候选名单尝试解密。
[0005]由于要送到企业网络之外的加密文件,大部分都是在企业网络内的终端完成加密程序,因此透过此方式,首先可大幅提高密码的正确性,而不需要暴力破解方式盲目地尝试解密。
[0006]另一方面,一般来说,企业网络中使用者所能设想到作为加密使用的密码数量相对有限。因此相较于暴力破解方式所使用的字典,藉由本发明所收集的密码候选名单短小的多。可想到地,在尝试解密的过程中,使用本发明所产生的密码候选名单会比使用字典的方式节省非常多的时间,因此也减少服务中断(service interrupt1n)的时间,而可达成实时的DLP检查。
[0007]本发明另一方面即在于:藉由监控企业网络中终端所执行的特定应用程序(例如7-Zip或是Microsoft Word)以及该应用程序所进行的文件加密程序,可有效地辨识使用者所输入的密码。透过此方式,可不需要全程监控使用者在终端上的所有动作或输入,除了可避免侵犯的隐私问题,亦可大幅降低所需的系统资源。
[0008]根据本发明一实施例,一种在企业网络中收集加密文件的解密密码的计算机实施方法,该方法包含:
[0009]籲监视在终端所执行的应用程序;
[0010]?因应该终端执行一预定应用程序,开始监视该预定应用程序所进行的程序;以及
[0011]?因应该预定应用程序进行该一文件加密程序,开始辨识使用者为该文件加密程序所输入之一密码。
[0012]根据本发明另一实施例,一种在企业网络中解密加密文件的计算机实施方法,该方法包含:
[0013]?从一终端接收一加密文件;以及
[0014]?尝试以上述在企业网络中收集加密文件的解密密码的计算机实施方法所取得之该密码对该加密文件进行解密。
[0015]根据本发明另一实施例,一种在企业网络中解密加密文件的计算机实施方法,该方法包含:
[0016]?收集密码模块辨识在终端进行一第一文件加密程序所输入之一第一密码,并储存该第一密码;
[0017]?数据外泄保护模块接收一加密文件;以及
[0018]?数据外泄保护模块尝试以该第一密码对该加密文件进行解密。
[0019]根据本发明另一实施例,一种在企业网络中收集加密文件的解密密码的装置,该装置包含:
[0020]?第一监视部件,监视在一终端所执行的应用程序;
[0021]?第二监视部件,因应该终端执行一预定应用程序,开始监视该预定应用程序所进行的程序;以及
[0022]?辨识部件,因应该预定应用程序进行一文件加密程序,开始辨识使用者为该文件加密程序所输入的一密码。
[0023]根据本发明另一实施例,一种在企业网络中解密加密文件的装置,该装置包含:
[0024]?接收部件,从一终端接收一加密文件;以及
[0025]籲解密部件,尝试以如上所述的装置所取得的该密码对该加密文件进行解密。
[0026]在本发明其它实施例中,更提出可实行上述方法之信息设备以及计算机可读媒体或计算机程序产品。
[0027]本说明书中所提及的特色、优点、或类似表达方式并不表示,可以本发明实现的所有特色及优点应在本发明之任何单一的具体实施例内。而是应明白,有关特色及优点的表达方式是指结合具体实施例所述的特定特色、优点、或特性系包含在本发明的至少一具体实施例内。因此,本说明书中对于特色及优点、及类似表达方式的论述与相同具体实施例有关,但亦非必要。
[0028]此外,可以任何合适的方式,在一或多个具体实施例中结合本发明所述特色、优点、及特性。相关技术者应明白,在没有特定具体实施例之一或多个特定特色或优点的情况下,亦可实施本发明。在其它例子中应明白,特定具体实施例中的其它特色及优点可能未在本发明的所有具体实施例中出现。
[0029]参考以下说明及随附申请专利范围或利用如下文所提之本发明的实施方式,即可更加明了本发明的这些特色及优点。
【附图说明】
[0030]为了立即了解本发明的优点,请参考如附图所示的特定具体实施例,详细说明上文简短叙述的本发明。在了解这些图示仅描绘本发明的典型具体实施例并因此不将其视为限制本发明范畴的情况下,参考附图以额外的明确性及细节来说明本发明,附图中:
[0031]图1为一种依据本发明具体实施例的企业网络示意图;
[0032]图2为依据本发明具体实施例的收集密码的方法流程图;
[0033]图3为依据本发明具体实施例的密码候选表PT ;
[0034]图4为依据本发明具体实施例的尝试解密的方法流程图。
[0035]【主要组件符号说明】
[0036]10 企业网络
[0037]20 终端
[0038]30 收集密码模块
[0039]40 DLP 模块
[0040]42 内存
[0041]44 处理器
[0042]50 外部网络
[0043]PT 密码候选表
【具体实施方式】
[0044]本说明书中“一具体实施例”或类似表达方式的引用是指结合该具体实施例所述的特定特色、结构、或特性包括在本发明的至少一具体实施例中。因此,在本说明书中,“在一具体实施例中”及类似表达方式的用语的出现未必指相同的具体实施例。
[0045]本领域技术人员当知,本发明可实施为信息设备、方法或作为计算机程序产品的计算机可读媒体。因此,本发明可以实施为各种形式,例如完全的硬件实施例、完全的软件实施例(包含韧体、常驻软件、微程序代码等),或者亦可实施为软件与硬件的实施形式,在以下会被称为“电路”、“模块”或“系统”。此外,本发明亦可以任何有形的媒体形式实施为计算机程序产品,其具有计算机可使用程序代码储存于其上。
[0046]—个或更多个计算机可使用或可读取媒体的组合都可以利用。举例来说,计算机可使用或可读取媒体可以是(但并不限于)电子的、磁的、光学的、电磁的、红外线的或半导体的系统、装置、设备或传播媒体。更具体的计算机可读取媒体实施例可以包括下列所示(非限定的例示):由一个或多个连接线所组成的电气连接、可携式的计算机磁盘、硬盘机、随机存取内存(RAM)、只读存储器(ROM)、可抹除程序化只读存储器(EPR0M或闪存)、光纤、可携式光盘片(CD-ROM)、光学储存装置、传输媒体(例如因特网(Internet)或内部网络(intranet)之基础连接)、或磁储存装置。需注意的是,计算机可使用或可读取媒体更可以为纸张或任何可用于将程序行印于其上而使得该程序可以再度被电子化的适当媒体,例如藉由光学扫描该纸张或其